版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
第7章企业网络案例2009年8月6日1第一页,共六十二页。本章主要内容网络建设目标与需求分析设计原则局域网设计方案广域网设计方案主机系统设计方案网络安全系统信息监控系统2009年8月6日2第二页,共六十二页。磁带机备份系统弱电防雷系统机柜及布线网络方案特点2009年8月6日3第三页,共六十二页。7.1网络建设目标与需求分析7.1.1企业基本情况与总体设计目标XX金融集团总部是XX金融集团投资银行总部、资产管理总部、证券投资总部、研发中心等业务总部日常办公所在地以及电脑中心。从业务部门的角度来看要满足以下几个系统的运行需要:(1)资产管理及证券投资业务系统(包括行情系统、交易系统);(2)证券信息研发系统(实验机房等);2009年8月6日4第四页,共六十二页。(3)服务器性能与系统监控;(4)弱电防雷建设;(5)与其他各营业部可靠联接、备份。网络建成后,将达到:(1)技术先进性,使用技术在今后的3至5年内不落后,符合信息技术的发展方向。(2)满足中国证券业电子化、网络化、智能化、集中式发展趋势的要求。(3)重点建设好网络通信基础设施平台,为上层业务系统提供良好的底层支持。2009年8月6日5第五页,共六十二页。7.1.2应用系统的分析XX金融集团总部网络系统已经建设好,这一次是搬家并改建,网络系统需要平滑迁移,建议如下:(1)保持原总部系统运行的情况下,建设新总部,并将部分业务部门迁移到新总部。(2)新总部除电脑部外其他功能齐全,在系统稳定运行一段时间后,将电脑部的设备逐步迁移到新总部,直到所有设备都迁移到新总部,原有总部停止运行。2009年8月6日6第六页,共六十二页。(3)在系统并行运行时新总部和原有总部间建立宽带连接或高速专线连接,保证所有的业务系统正常运行。(4)在广域网接入设备迁移到新总部时可以预先将电信部门的光纤接好,最终迁移时只要将光纤分配器、路由器等设备迁移到新总部,实现对营业部透明迁移。(5)网上交易部分,逐步迁移到新总部。(6)其他服务器一次性迁移到新总部机房。2009年8月6日7第七页,共六十二页。7.1.3需求分析1.网络拓扑结构需求XX金融集团总部网络系统应采用千兆网络主干,百兆交换到桌面。由于总部存在多个应用,所以保证各应用系统稳定快速运行是完成网络设计建设的重点。因此采用双星拓扑结构。XX金融集团在全国十几个省、自治区和直辖市分布有子公司,子公司所在城市分布比较分散,在部分城市有多个分支机构。整个网络结构要满足分散交易、网络通信、网络管理、系统冗余等要求。2009年8月6日8第八页,共六十二页。广域网拓扑结构采用双主干节点建设XX金融集团IP多业务网络平台系统广域网拓扑结构。网络系统链路冗余可以采用双链路结构,所有子公司都用专线与集团总部连接,ISDN做为备份线路,另外用一条ISDN与备份中心连接。2009年8月6日9第九页,共六十二页。2.计算机系统安全需求由于总部存在多个业务子系统,有些业务是相对保密并极为重要的,不能因为办公网的故障(误操作、病毒、非法入侵等)而造成数据损失或篡改。因此,需要在两个子系统之间进行有效的隔离,必须保证各子系统之间的通讯是灵活、高效而又受到控制的。2009年8月6日10第十页,共六十二页。3.网络管理需求网络管理系统应满足以下要求:(1)网络管理系统应具有同时支持网络监视和控制两方面的能力。(2)尽可能大的管理范围。(3)尽可能小的系统开销。(4)容纳不同的网络管理系统。2009年8月6日11第十一页,共六十二页。7.2设计原则(1)实用性。(2)先进性。(3)可靠性。(4)网络安全性。(5)易于管理和维护。(6)支持多媒体。(7)符合国际标准。(8)可扩展性。(9)高性能。(10)可管理性。2009年8月6日12第十二页,共六十二页。7.3局域网设计方案7.3.1局域网设计拓朴结构中心选用两台CiscoCatalyst6509交换机实现骨干千兆交换,同时提供二级交换机和服务器以及其他关键设备的连接。二级交换机使用Catalyst2950系列交换机。对于总部网络系统的管理一般涉及到网络设备管理和网络用户、资源管理。网络管理建议使用CiscoWorks2000。2009年8月6日13第十三页,共六十二页。2009年8月6日14第十四页,共六十二页。7.3.2网络设备选型1.中心交换机产器选型主干交换机选用Catalyst6509交换机2.二级交换机选型二级交换机建议使用Catalyst2950-48G/2948G交换机。3.实验室交换机选型建议使用Catalyst4006SupervisorIII交换机。2009年8月6日15第十五页,共六十二页。7.3.3所使用的技术与作用对于整个网络来说,潜在的故障点有以下几个方面:(1)交换机引擎。(2)交换机电源。(3)子网间的路由。(4)交换机之间的链路。(5)交换机的端口。(6)服务器的网络连接。2009年8月6日16第十六页,共六十二页。本方案中,针对以上潜在的故障点作了以下几方面设计。(1)选择中心交换机相互冗余。(2)在网络中心配置两台中心交换机,一旦主交换机故障,备份交换机可以立即接管所有工作,有效的防止了单点故障点的出现。(3)主干交换机双电源保护。
(4)HSRP(热备份路由冗余协议)保证了VLAN间路由的不间断。2009年8月6日17第十七页,共六十二页。(5)二级交换机通过两条链路分别连接到两台中心交换机,利用SPT(SPANTREE)技术实现链路及端口的冗余,同时UPLINKFAST技术实现了快速切换。(6)关键业务服务器的网络连接使用AFT(AdapterFaultTolerance,网卡出错冗余)技术实现冗余保护。2009年8月6日18第十八页,共六十二页。7.3.4网络安全设计说明在本方案中采用以下手段,以确保关键业务部门的安全。(1)通过虚拟局域网的划分加强网络安全。(2)通过交换机设置限制站点对网络系统的访问。(3)通过网络操作系统的安全管理加强网络安全。2009年8月6日19第十九页,共六十二页。7.3.5局域网设计特点(1)使用双主干网络设计,保证主干交换机网络容错。一台主干交换机故障不会导致交易网络不能工作,也不用手工切换进行维护,保证网络可靠性。(2)使用千兆网络保证网络交易速度与实时性。(3)使用stp、portfast、uplinkfast实现网络故障时快速切换,保证可靠运行。(4)使用FEC/GEC技术实现网络带宽扩展,适应证券网络不断扩展要求。2009年8月6日20第二十页,共六十二页。7.4广域网设计方案7.4.1广域网网络拓扑结构该网络的拓扑结构分为三层结构,如图7-2所示。(1)以XX市为中心,也是XX金融集成的总部所在地。(2)使用7507路由器作为主路由器,对于重要的子公司管理总部可通过2MDDN线路联接至7507路由器。2009年8月6日21第二十一页,共六十二页。(3)新增一台7206路由器作为备份,对于一般的子公司或因路由器模块本身限制速度不能达到2M的链路可联接至7206路由器。(4)原Cisco3600路由器保留,作为ISDN/PSTN拨号线路的接入,用于DDN线路故障的备份。当7507/7200路由器故障或7500/7200至各子公司相应的通信线路故障的备份。2009年8月6日22第二十二页,共六十二页。2009年8月6日23第二十三页,共六十二页。7.4.2设备选型1)在保留原中心的主干路由器7507基础上,新增一台7206路由器。2)根据子公司对高带宽的DDN线路要求的多少,Cisco7507配置相应数量的VIP4-80卡及相应的PA-MC-8E1/120卡。3)PA-MC-8E1/120为8portmultichannelE1portadapterwithG.703120Ohm。4)原Cisco7507的PA-8T的卡可移入7206路由器,用于联接FR或低带宽的DDN线路。2009年8月6日24第二十四页,共六十二页。7.4.3中心节点设计本网络系统的中心节点为XX市数据中心,建立网络系统的骨干,分别与二级分支节点相连,两个中心之间使用高速广域网链路连接,比如宽带、SDH、1000M光纤等,能够满足系统的冗余与负载平衡。总部的关键部门通过VPN与子公司连接,同时在关键部门使用防火墙保护,如Cisco的PIX系列或相应国产的防火墙。2009年8月6日25第二十五页,共六十二页。数据中心使用Cisco7507/7206为核心路由器,同时使用3640为ISDN拨号备份路由器。在主链路或7206设备正常时分支节点使用DDN,总部到电信使用多路复用技术,当主链路出现故障时使用ISDN拨号连接中心。2009年8月6日26第二十六页,共六十二页。7.4.4广域网设计主要特点(1)使用多主干路由器设计,保证网络主干路由容错。一台故障不会导致与总部网络不能通信,也不用手工切换进行维护,保证网络可靠性。(2)使用Cisco高性能路由器保证广域网网络转发速度与性能,保证总部与子公司之间数据通信速度。(3)实现网络故障时快速切换,保证网络可靠运行。2009年8月6日27第二十七页,共六十二页。(4)充分使用原网络主干路由器,保护原用户的投入。(5)高性能主干路由器保证网络系统路由数据速度。(6)三条链路容错保证网络系统主干可靠。(7)既保证主干网络系统可靠性,可扩展性好,又可适应将来发展。(8)使用CiscoWorks2000对网络系统进行管理。2009年8月6日28第二十八页,共六十二页。7.4.5所用技术与应用(1)IP通信技术是广域网上使用最广泛的第三层通信协议,带宽与开销小。2)使用适应性好的路由协议如OSPF、EIGRP等链路状态路由协议,对网络链路故障进行快速定位。(3)使用EIGRP可以实现不同链路之间的负载均衡,使用OSPF可实现网络层次管理及负载均衡。2009年8月6日29第二十九页,共六十二页。(4)在QoS方面,可以使用排队技术、带宽预留技术、队列整形、优先级技术对不同类应用给予不同级别与带宽,实现总部与子公司之间数据传送的优先级。(5)线路备份方面主要有DDR、HSRP、路由协议内置特性实现。2009年8月6日30第三十页,共六十二页。7.5主机系统设计方案7.5.1设计目标保证信息、资金服务器工作站的可靠运行。7.5.2设备选型1.行情服务器选型使用双机单柜实现行情服务器容错。服务器选用CompaqProliantDL760。2.资金服务器选型资金服务器选用二台CompaqProliantDL580机柜式服务器。二台服务器之间数据同步备份通2009年8月6日31第三十一页,共六十二页。过OCTOPUS软件实现,当一台服务器故障时可自动或手工切换至另一台服务器。3.阵列柜选型阵列柜使用康柏StorageWorksRAIDArray4100。4.机房处理机选型(一)机房处理机推荐选用CompaqDL320。5.机房处理机选型(二)机房处理机也可选用圆明1010r服务器。2009年8月6日32第三十二页,共六十二页。6.软件产品选型(1)信息服务器容错软件信息服务器容错软件选用OEMLegato公司的NHAS软件。(2)资金服务器容错软件目前比较多的软件备份主要有Lifekeep、Costandby、Octopus。建议使用Octopus软件。2009年8月6日33第三十三页,共六十二页。7.6网络安全系统7.6.1广域网安全分析1.网络系统的安全问题网络服务提供系统可能存在的安全威胁来自以下方面:(1)操作系统的安全性。(2)来自外部非法用户或者黑客的攻击。(3)来自内部网用户的安全威胁。(4)缺少有效的保护措施。2009年8月6日34第三十四页,共六十二页。(5)缺乏有效的手段监视、评估网络系统的安全性。(6)采用的TCP/IP协议族软件,本身缺乏安全性。(7)未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。(8)应用服务系统在访问控制及安全通讯方面考虑较少,容易造成损失。2009年8月6日35第三十五页,共六十二页。2.系统安全结构针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的4个层次。(1)物理层。(2)链路层。(3)网络层。(4)操作系统。(5)应用平台。(6)应用系统。2009年8月6日36第三十六页,共六十二页。3.广域网的安全的必要性由于广域网采用公网传输数据,因而在广域网上进行传输时信息也可能会被不法分子截取。如子公司从异地上发一个信息到总部时,这个信息包就有可能被人截取和利用。因。此在广域网一定要设计安全系统2009年8月6日37第三十七页,共六十二页。7.6.2网络安全建议通过实行以下几项技术的运用,XX金融集团的计算机网络的安全将得到充分的保证(1)防火墙技术。(2)入侵检测技术。(3)漏洞扫描安全评估技术。(4)防病毒技术。2009年8月6日38第三十八页,共六十二页。7.6.3路由器级安全控制1.访问控制列表(AccessControlList,ACL)Cisco路由器操作系统IOS通过访问控制列表(ACL)技术支持包过滤防火墙技术,根据事先确定的安全策略建立相应的访问列表,可以对数据包、路由信息包进行拦截与控制,可以根据源/目的地址、协议类型、TCP端口号进行控制。2.地址转换(NetworkAddressTranslation,NAT)Cisco路由器操作系统IOS的防火墙功能还包括IP地址转换的功能。2009年8月6日39第三十九页,共六十二页。3.路由认证技术为了保证发出和进入的路由更新不被窃取和攻击,Cisco路由器操作系统IOS提供对动态路由协议进行加密和认证的技术,只有在经过认证的路由器才能互相学习路由信息,同时路由信息的传输完全是以加密的形势进行的。4.路由器自身的安全防护首先,进行口令保。其次,利用口令授权2009年8月6日40第四十页,共六十二页。第三,对口令进行加密。第四,对无人值守的控制台和端口进行超时限制,以提高设备的安全性。5.内部网络端口的安全性在其内部网段---以太网上通过ARP控制进行IP地址与MAC地址的绑定,结合ACL对登录到路由器的主机与用户进行限制,可以更好的保证路由器的安全,防止非法用户盗用地址对路由器进行攻击。2009年8月6日41第四十一页,共六十二页。7.7信息监控系统7.7.1系统需求分析与设计目标1.系统需求分析为了有效地对信息中心的网络系统进行监管,需要建立一个网络监控和管理系统。监控中心网络状况,对服务器(Unix、Novell、NT)、数据库(SQLServer、Oracle)的状态性能进行监控,对转换机、处理机、路由器、交换机等进行监控。2009年8月6日42第四十二页,共六十二页。系统其它功能在系统成熟后再扩充,包括:(1)能方便地了解网络系统的配置情况,具有资产管理功能并生成报表。(2)能有效地提供资源利用情况和性能趋势,为系统的升级提供依据。(3)具有完善和方便的二次开发功能。2009年8月6日43第四十三页,共六十二页。2.系统的目标(1)高效性:采用统一、全面、集成的管理工具,管理复杂的IT环境。(2)实用性:主动预警报告、灵活策略制定、防患于未然。(3)安全可靠性:一个安全、可靠的管理平台是“有效管理”的充分保证。(4)可扩展性:配置灵活、适应未来发展,保护以往投资。(5)可靠的技术支持与服务:2009年8月6日44第四十四页,共六十二页。7.7.2具体技术要求1.系统性能管理
(1)支持多平台,保持系统的可扩展性,如SCO、NT、SUN、NetWare等。(2)对文件系统进行监控,并能定义预警和严重性的门限。(3)对操作系统的关键进程监控,进行报警,发生故障时能自动处理。(4)对系统的内存进行监控,并能预警CPU和交换区。
2009年8月6日45第四十五页,共六十二页。(5)对操作系统的各种日志文件进行收集和监控,从而发现错误并进行预警。(6)对操作系统的各种资源,有实时、动态的图形界面显示。2.网络管理(1)能自动地发现并识别分布式网络环境中的所有资源。(2)自动地收集网络性能信息,并可以根据预先设定的网络参数目标,来监控客户/服务器,网络硬件及软件等,产生相应报警信息。2009年8月6日46第四十六页,共六十二页。(3)具体分析最终用户的响应时间,LAN的容量利用及出错统计等等,应具有报表机制,提供图形化或表格方式的数据表达,提供详细的有关服务器、LAN负载的历史报表,提供网络资源性能的实时报表。(4)对网络设备参数进行监视和调整,对网络设备端口进行数据流量统计和分析,对网络设备性能进行实时监视,对网络设备操作状态和端口操作进行实时监视,对网络消息进行记录、统计和操作报告,对网络设备进行故障告警、问题定位和问题分析能力。(5)监视整个网络拓扑结构,实时监视整个网络流量,监视和管理网络路由,捕获、存储和管理异常事件,获得网络运行报告。2009年8月6日47第四十七页,共六十二页。3.数据库管理(1)对MSSQLServer、Oracle等数据库自动管理。(2)监控数据库的可用性,应能监控数据库引擎的关键参数。(3)可定制阀值,自动监控数据库资源的变化,并应能在达到限值时发生警告和错误信息,并应能触发一定的动作,以便及时采取措施。2009年8月6日48第四十八页,共六十二页。(4)监控表空间的使用情况。(5)监控事件日志空间的使用情况,自动监控数据库日志的变化,并且有智能预警的功能。(6)与数据库本身的管理工具无缝地集成起来,使户通过统一的界面就可对数据库进行细致的管理。4.桌面系统的管理具有软件Metering功能,定义对用户的某一特定软件进行监视,具有提醒管理员功能。2009年8月6日49第四十九页,共六十二页。7.7.4网络管理方案1.网络管理内容(1)配置管理(2)性能管理(4)计费管理功能(5)安全管理2.骨干网的管理网络公司建议在总部网络配置一台网管工作站,运行CiscoWorks网管软件,对网络进行管理,此建议书中所配置的路由器及交换机产品,都具有管理功能,包括SNMP、RMON、NetflowStatistics(网络流量统计)、HTTP、诊断/故障排除、Syslog、拓扑发现代理等等很多功能2009年8月6日50第五十页,共六十二页。3.产品选型因所有网络产品为Cisco公司的产品,主要有Catalyst4006、6509、2900系列交换机。广域网所有产品使用Cisco路由器。建议使用CiscoWorksforWAN实现网络管理。2009年8月6日51第五十一页,共六十二页。7.8磁带机备份系统7.8.1概述金融系统的连续稳定运行及数据安全至关重要。一旦系统中断运行,将给子公司的运行带来极大的混乱;而数据一旦丢失,则带来的后果(损失)将是灾难性的。因此,如何确保数据的安全,如何保证系统的连续稳定运行,就成为电脑主管和系统管理人员非常关切的问题。同时在灾难情况下(如病毒发作),如何快捷准确无误地进行恢复,减少或避免灾难发生时的损失,亦是电脑主管和系统维护人员关切的问题。2009年8月6日52第五十二页,共六十二页。7.8.2需求描述数据量及每日增量要求大致如下:财务系统,SQL7,2.5GB,增长量:50MB/天,要求每天作增量数据备份,周期约一周。业务通信系统,DBFFILE,80MB/天,每天备份的数据均不同。在线交易系统,ORACLE&SQL2000,500MB,增长量:较小,要求每天作全数据备份。2009年8月6日53第五十三页,共六十二页。在线交易系统,语音LOGFILE,100MB/天,每天备份的数据均不同。OA系统,LOTUS,10GB,增长量:20MB/天,要求每天作增量数据备份,周期约二周。还有其他不确定的数据:如服务器操作系统、数据挖掘系统等数据不确定数据。7.8.3厂家选择选择Veritas磁带备份软件,使用HP4/40磁带库存作为备份设备。2009年8月6日54第五十四页,共六十二页。7.8.4技术选型1.磁带库技术选型备份设备则选用HP公司的4/40Ultrium磁带库。2.备份软件技术选型建议采用VeritasBackupExec。2009年8月6日55第五十五页,共六十二页。7.8.5特点本解决方案的实施经过该金融集团总部运营的检验,证明是非常成功的。1)Ultrium4/40磁带驱动器对金融交易过程中产生的业务数据做到了实时、正确、可靠的备份。2)数据备份系统是成熟而稳定的。3)备份系统改造正式实施大大提高了集团信息系统的安全性,其集中管理化程度也大大提高。4)BackupExec备份软件的安装和操作非常简易。2009年8月6日56第五十六页,共六十二页。7.9弱电防雷系统序号名称型号及规格备注1三相四级A级保护防雷器V25-B/42三相四级B级保护防雷器V25-C/43地级保护防雷器4804RJ11/45信号保护器RJ11TELE4(110V/MODEM/FAX)5卫星信号保护器DS-M/W6三相四级A级带遥信触点V25-B/4-FS7三相四级A级带监控触点V25-B/4-FS-SU2009年
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年度企业人力资源优化与培训服务合同3篇
- 2024年度版权许可合同服务内容扩展
- 2024年度船舶买卖与运输合同
- 2024年度企业服务销售劳动合同范本(2024版)
- 2024年度茶山养老养生项目合作合同
- 2024年度汽车租赁公司设备采购合同
- 2024年度知识产权许可合同的知识产权范围与许可方式
- 2024年度股权转让涉及知识产权保护合同2篇
- 2024年度互联网金融服务合同(理财、借贷、支付等)2篇
- 2024年度特质离婚财产分割协议书
- db11 7912011 文物建筑消防设施设置规范
- 《unit 2 you shouldnt be late.》课件小学英语外研社版一年级起点五年级上册 (2014年6月第1版)
- 一年级数学口算凑十法
- 破产流程图最新版本
- 病例报告表(样板)
- 《长方形和正方形的认识》(课件) 数学三年级上册
- 机井、管道评定表格
- 医健卫统一资源管理平台解决方案.docx
- 养殖场投资成本分析表格
- 灭火器检查记录表模板
- 在全县创建义务教育优质均衡改革发展示范区动员大会上的讲话
评论
0/150
提交评论